從目錄到區塊鏈探索企業數字身份的未來

李江鑫 張曉韜 王先兵

摘 ?要：從古至今，信息的交換從來離不開身份的驗證，該文介紹了從現實世界到數字世界，從物理身份到數字身份，尤其是在企業中通時代的發展情況。數字身份經歷了PC時代、移動互聯時代，到現在的全面數字化，并探討了未來發展方向。隨著移動互聯網的高速發展，企業將身份管理延伸至客戶端，為企業的獲客、營銷、運營提供多元化的身份服務能力。

關鍵詞：目錄 ?數字身份 ?區塊鏈 ?零信任身份 ?零知識證明

中圖分類號：TP393.08 ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A文章編號：1672-3791（2021）04（c）-0058-04

Explore the Future of Enterprise Digital Identity from Directory to Blockchain

LI Jiangxin ?ZHANG Xiaotao ?WANG Xianbing

（Aostar Information Technologies Co.，Ltd.， Chengdu， Sichuan Province， 610041 ?China）

Abstract： Since ancient times， the exchange of information has never been without identity verification. This article introduces the development from the real world to the digital world， from physical identity to digital identity， especially in the era of enterprise communication. Digital identity has gone through the PC era， the mobile internet era， and is now fully digitized， and the future development direction has been discussed. With the rapid development of the mobile Internet， companies have extended their identity management to the client， providing diversified identity service capabilities for the company's customer acquisition， marketing， and operation.

Key Words： Directory; Digital identity; Blockchain; Zero-trust identity; Zero-knowledge proof

身份認證技術在計算機網絡中是證明操作者身份的過程而產生的有效解決方法。從古至今，從物理世界到虛擬世界，人們的身份證明方式發生了天翻復地的變化。對于實體身份的證明，在古代人們一般是以腰牌、虎符、官印、朝珠、手信等信物和服飾來識別一個人的身份，在現在社會則通過身份證、戶口本、護照、駕照、社保卡等信物來證明身份，同時也可以通過人們的社交關系證明身份。在數字世界里如何證明一個人的身份，依然是一件比較困難的事，目前成熟手段主要以個人征信、社交賬號、郵箱賬號、手機號、人臉、指紋等信息證明身份。

1 ?企業身份認證的發展歷程

企業數字身份發展也先后經歷了多個階段，從最初的目錄（LDAP）服務，到現在的聯合身份，企業從內到外逐漸實現了用戶身份的全覆蓋。最初，企業大多只管理了內部用戶的身份，通過統一分配賬號的手段，讓員工使用企業系統，此時基本是一個系統一個賬號。通過統一目錄服務，企業將不同系統的身份進行了融合，并提供單點登錄服務，提升了用戶體驗，加強了身份的安全。同時，更完善的身份認證系統提供了統一的授權和審計，強化了企業身份全生命周期管理，合規性更強。隨著移動互聯網的高速發展，企業將身份管理延伸至客戶端，為企業的獲客、營銷、運營提供多元化的身份服務能力。

1.1 PC網絡時代

主要特征是PC電腦的大量應用，帶來信息化能力的提升，身份認證的主要手段是賬號+密碼。在這個階段，企業信息化飛速發展，各類業務信息系統如春筍般上線，但是各個信息系統之間基本上都是獨立的一套系統，分別有自己的賬號體系、密碼規則、不同的登錄界面以及用戶管理等功能。

隨著系統越建越多，每個人可能需要記多套賬號口令、在瀏覽器收藏多個系統登錄地址、賬號密碼的創建維護工作難以高效開展，安全短板也越來越多。企業的經營者以及IT主管部門意識到，這將是一個巨大的麻煩，如果繼續發展下去，將極大地阻礙企業生產經營活動。因此，統一身份認證以及訪問控制的一組技術被用于整合企業的身份，幫助用戶實現一個賬號登錄企業所有系統，同時使跨部門業務的融合成為可能。

1.1.1 統一目錄（LDAP）

比如：Microsoft Active Directory（AD）、eDirecotry等，提供了統一的賬號組織存儲和一組標準化的輕量級數據訪問標準協議，只要支持該協議的其他系統都可以通過簡單的訪問地址與連接賬戶配置，訪問和獲取LDAP中的用戶、組織、訪問控制信息。

1.1.2 單點登錄（SSO）

用單點登錄簡化用戶訪問，用戶一次登錄后，就可以依靠認證令牌在不同系統之間切換。

1.1.3 身份分發技術

以身份認證系統為權威身份源，通常以XML或其他標準化數據格式向其他異構系統實時推送賬號/口令信息，以實現各信息系統身份信息一致。

1.2 移動互聯時代

移動互聯時代的主要特征是智能手機的大量普及，身份認證的主要手段是手機動態碼，賬號+密碼依然是雙選項之一，并在大量金融、支付場景識別用戶多種認證因子，確保安全[1]。這一階段在網絡上使用大部分應用時，可以通過手機號、微信號、支付寶等識別一個人的身份。

隨著移動穿戴設備、物聯網、AI技術主要特征是智能設備的大量普及，帶來了萬物互聯的繁榮景象，身份認證的主要手段增加了人臉、指紋等生物特征。在這一階段，更多的是體現身份的原本特征，不再依賴外部設備來對身份進行核驗，進出大樓、購物消費、乘坐地鐵、機場通行只需要一張臉即可。

總體來說，企業身份的發展主要服務于企業的發展經營，對外相當于一個封閉系統，少有企業之間的身份互通。在不同領域實際數字身份的發展還是存在著比較大的差異。總體方向上，數字身份面向用戶變得越來越安全便捷，面向企業身份所蘊含的信息越來越豐富。

2 ?主流技術方案

由于使用領域的不同，數字身份系統目前主流的技術包括這5種類型，分別是內部身份管理、外部身份認證、集中身份、聯合認證、分布式身份。

2.1 內部身份管理

一方同時是身份提供者和依賴方。企業內部使用的身份認證技術，主要是為了解決身份分散管理、用戶記憶過多賬號密碼、認證方式不夠安全可靠、權限分配不合規、無法審計等問題。目前，最新的技術方案是將企業內外部應用和全部歸口用戶進行覆蓋，通過各類平臺整合的方式，提供一套完整的解決方案。可以對各類用戶采取不同的管理策略，也可以同時在內外網使用。

2.2 外部身份認證

與內部身份相似，但另有一組身份提供者鑒定用戶身份。其優勢是用戶可憑借一組憑證而不是設 置不同的用戶名和密碼來使用不同的服務。為用戶提供標準的身份認證服務，集成、ID供應、應用集成、無密認證[2]服務，為企業解決了身份難題，同時為企業降低身份投入，提升安全。另外，在這一方向上今年來形成產業聯盟認證的方式，例如：國外的FIDO協議、國內的IFAA（阿里）和騰訊發起的SOTER、公安一所發起的OIDAA。這些方案致力于簡化認證方式，增強安全性，將人臉、指紋等生物識別技術應用于互聯網及企業身份認證應用。

2.3 集中身份

這一類身份認證技術中心，身份提供方（如公安機構）一般都有剛性需求的身份信息提供，如身份證信息核驗。身份使用者通過付費、集成等方式，通過用于允許后，對身份進行聯網認證。目前，全國公民身份信息服務平臺CTID是最大的聯網核查服務，金融機構、機場、酒店都是通過這種方式對用戶身份進行實名核驗。

2.4 實名認證

在網絡安全實名制要求后，互聯網應用也采用實名制注冊的方式，對用戶身份信息進行核查。但這里，由于早期只是通過這兩個因素（姓名+身份證號）的核查方式，導致很多網絡應用用戶注冊的實名信息存在大量假冒、偽冒情況。為了避免存在這種現象，目前采用了身份證OCR+人臉活體識別的方式對身份實名進行核驗，但成本較高，需要對客戶端進行技術升級。更新的技術將身份安全芯片跟銀行卡、電話卡進行融合，可直接通過這些卡進行身份識別。另外，在一些支持NFC讀取的手機上，也支持直接讀取二代身份證的身份芯片，對身份進行實名認證。

2.5 聯合認證

一個身份提供者使用第三方權威身份信息為依賴方認證進行認證。除各種私營經紀商向服務訂購方發出數字身份外，這類系統與集中身份系統相似。

3 ?新技術的應用

身份認證技術存在著多層次問題，在底層標準方面多方缺乏共識，頂層用戶體驗方面在各領域參差不齊，中間層的信息協調存在商業壁壘。主要難點體現在以下方面。

一是數字身份面臨著其他廣泛使用的數字技術已經暴露出的風險，如數據泄露、技術漏洞、故障以及濫用個人數據等在數字生態系統中既有的一系列潛在風險。

二是數字身份涉及與傳統身份程序相關的一些風險，如人為執行錯誤、未經授權的使用以及對不懂得如何使用數字身份、不信任數字身份系統的個體的排斥。

數字身份系統從設計到實施的整個生命周期中，創造價值和獲取信任是至關重要的。新技術的出現帶來產品、工具乃至生產關系發生變化，整個社會總是在不同的因素驅動下向前發展，也倒逼數字身份技術的持續變革。

3.1 區塊鏈身份認證技術

區塊鏈技術作為新基建領域中基礎設施類的重要技術，已經與大數據、人工智能、工業互聯網等技術深度融合，逐步成為數字化智能時代的技術基礎。相較于傳統身份認證體系，基于區塊鏈建立的數字身份認證系統具有保證數據真實可信、用戶隱私安全等特征。區塊鏈數字身份認證將眾多身份提供者與眾多依賴方連接在一起，為所有用戶設立數字賬戶以實現跨機構、跨地區訪問，能有效地解決多方數據共享交換的問題，在用戶許可的整體框架下，進行身份信息的互聯互通[3]。具體情況見圖1。

3.2 零知識證明用于隱私保護

零知識證明（Zero-Knowledge Proof），是由S.Goldwasser、S.Micali及C.Rackoff在20世紀80年代初提出的。它指的是證明者能夠在不向驗證者提供任何有用的信息的情況下，使驗證者相信某個論斷是正確的。零知識證明算法流程如下，雙方遵從零知識證明的協議[4]，驗證著通過給定的信息以零知識算法的公開制驗證其是否相等。證明過程見圖2。

零知識證明不僅能滿足雙方身份驗證的需求[5]，還能實現被驗證方不泄漏任何隱私信息，這樣的模型非常適用于隱私保護，試想有一天，我們在買房的時候，無需向開發商提供身份證、手機號、家庭住址等重要隱私信息，就能完成付款、交付等購房環節，這樣個人將不再受到沒完沒了的隱私侵犯和騷擾，也將對“數據黑產”產生致命打擊。

3.3 基于零信任的身份模型

零信任不是某一項技術或者方案，而是一種安全管理思想。零信任是為解決傳統基于邊界的安全防護架構失效問題，構筑新的動態虛擬身份邊界。通過身份、環境、動態權限這3個層面，緩解身份濫用、高風險終端、非授權訪問、越權訪問、數據非法流出等安全風險，建立了端到端的動態訪問控制機制，極大收縮攻擊面，為各行業的新一代網絡和信息安全建設提供理論和實踐支撐。

零信任不是取代或者替換傳統的身份認證技術，零信任模型中身份成為中心，傳統的多種身份認證技術將結合新技術一起被部署在企業網絡當中[6]。在零信任模型中，并不限制使用任何單一的身份驗證技術，圖3是將傳統4A與零信任融合落地的方案。

4 ?結語

數字身份的發展方向在各行各業很難形成大一統的局面，卻遵循著越來越一致的發展原則，包括產生社會價值、隱私保護、以用戶為中心、可信性與可持續性、開放靈活等。從技術層面來看，區塊鏈數字身份認證、零信任身份、零知識證明等較新的技術與傳統方式不是替代關系，而是共生演進的形態，這與整個社會、行業、企業的特性密切相關，但這些技術確實已經成為企業數字身份的明確方向。

參考文獻

[1] 丁興.基于多因子行為的身份鑒別方案與應用研究[D].貴州大學，2020.

[2] 周平，劉廷峰，李江鑫.企業級免密認證系統開發實踐[J].網絡空間安全，2018，9（12）：32-34.

[3] 顧燕.基于區塊鏈的身份認證系統的設計與實現[D].北京郵電大學，2018.

[4] 李小燕.網絡可信身份認證技術演變史及發展趨勢研究[J].網絡空間安全，2018，9（11）：6-11，18.

[5] 趙殷豪.基于區塊鏈的匿名技術研究[D].北京交通大學，2019.

[6] 左英男.零信任架構：網絡安全新范式[J].金融電子化，2018（11）：50-51.

①作者簡介：李江鑫（1986—），男，本科，工程師，研究方向為信息系統集成與統一身份認證。

張曉韜（1983—），男，本科，工程師，研究方向為網絡信息安全與數字身份認證領域。

王先兵（1985—），男，本科，工程師，研究方向為軟件架構及研發。